BT güvenliğinin ölçülmesi ve iyileştirilmesi artık birçok şirkete ulaştı ve ileriye götürülüyor. Öte yandan, OT güvenliği sorunu birçok şirket için hala kapalı bir kitap. OTORIO, BT ve OT güvenliğinin eşit şekilde nasıl geliştirilebileceğini ve güvenlik açığı yönetiminin ve puanlamanın bunda nasıl bir rol oynadığını açıklıyor.
Belirli bir tesis, süreç veya tüm üretim tesisi için en etkili risk azaltmayı sağlayan en verimli risk azaltma önlemleri nelerdir? Bununla birlikte, risk azaltma önlemleri uygulandıktan ve kabul edilebilir bir artık risk kaldığında, yapılacak daha çok iş vardır. Bunun nedeni, risk azaltma sürecinin yeni ortaya çıkan "kabul edilebilir" artık riskin bir parçası olan ek tehlikeleri ve boşlukları ortaya çıkarmasıdır.
Bu, operasyonel ve OT güvenlik ekiplerinin sürekli olarak saldırganların bir kuruluşa mümkün olduğunca fazla zarar vermek için istismar etme olasılığı en yüksek olan güvenlik açıklarına odaklanmasına izin verdiği için devam eden bir süreçtir. Kuruluşlar, yalnızca bu risk değerlendirme döngüsünü tekrarlayarak sınırlı miktarda kaynakla iş dayanıklılığına ulaşabilir.
Durum değerlendirmesinin amaçları
Değerlendirme sürecinin temel amacı, güvenlik açıklarını doğru öncelik ile ele almaktır. Bu gönderi, güvenlik açıklarının doğasına, nasıl değerlendirilmeleri gerektiğine ve bunların OT dijital güvenliğe uygulanmasına bakar.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bir güvenlik açığını şu şekilde tanımlar: "Yazılım ve donanım bileşenlerinin hesaplama mantığında (örn. kod) bulunan ve kötüye kullanılması durumunda gizlilik, bütünlük veya kullanılabilirlik üzerinde olumsuz bir etkiye neden olan bir güvenlik açığı. Bu bağlamdaki güvenlik açıklarını düzeltmek genellikle kodda değişiklik yapılmasını gerektirir, ancak aynı zamanda spesifikasyonda değişiklik yapılmasını ve hatta spesifikasyonun kullanımdan kaldırılmasını (örneğin, etkilenen protokollerin veya işlevlerin tamamen kaldırılması) içerebilir. ”
Varlık envanteri ile OT güvenlik açıkları arasındaki ilişki
Doğru, bağlamsal ve ayrıntılı bir varlık envanteri oluşturmak, etkili bir OT güvenlik açığı analizi süreci geliştirmenin ilk adımıdır. Envanter, yazılım ve sürüm tarihlerini, cihaz bağlantılarını, durumu ve yönetim bilgilerini (ör. sahip, operasyonel rol, işlev) içermelidir. Güncel ve doğru bir envanter, varlık sağlığının çeşitli yönlerini yansıtır.
İlk envanterden sonra, güvenlik açıkları karşılık gelen varlıklarla ilişkilendirilebilir. Bu eşleme, özellikle çok sayıda varlık söz konusu olduğunda otomatik bir süreç aracılığıyla yapılmalıdır. Bu, yarı yapılandırılmış güvenlik açığı verilerini ağdaki varlıklarla ilişkilendirebilen bir algoritma oluşturmayı ve kullanmayı gerektirir.
NIST'in Ortak Güvenlik Açıkları ve Riskler (CVE) veritabanı şu anda yaklaşık 170.000 bilinen BT ve OT güvenlik açığı içerir ve bu da onu önemli bir bilgi kaynağı haline getirir. Bu sayı ve sürekli olarak yeni güvenlik açıklarının ortaya çıkması, ölçeği ve bunların tanımlanmasını otomatikleştirme ihtiyacını vurgulamaktadır.
Güvenlik açığı tanımları için kaynaklar
Güvenlik açıkları değerlendirilirken, her bir güvenlik açığının ciddiyeti bir güvenlik açığı dizini kullanılarak ölçülür. Güvenlik açıklarını değerlendirmek için standart bir yöntem, bir güvenlik açığından ne kadar kolay yararlanılabileceğini ve bunun gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkisini değerlendiren bir endüstri standardı olan NIST'in Ortak Güvenlik Açığı Puanlama Sistemidir (CVSS). Bu üç faktör ("gizlilik, bütünlük ve erişilebilirlik" anlamına gelen "CIA" olarak da bilinir) aynı zamanda bir tehdidin potansiyel ciddiyetini ölçen değişkenlerdir.
Ancak, yalnızca yaygın güvenlik açıklarını dikkate almak, belirli bir varlığın ne kadar savunmasız olduğunu belirlemek için yeterli değildir. Diğer bir belirleme kaynağı, bir şirketin iç politikasıdır. Örneğin, böyle bir politika, orta güçteki parolaların bir güvenlik açığı oluşturduğunu belirtirse, varlığın güvenlik açığı hesaplanırken bu dikkate alınmalıdır. Kuruluşa özgü güvenlik açıkları, uygulayıcıların politikayı güvenlik açıklarını değerlendirmede bir faktör olarak değerlendirebilmelerinin birincil yoludur.
Endüstri standartları ve en iyi uygulamalar da riske katkıda bulunan önemli güvenlik açıkları kaynaklarıdır. Endüstri standartlarına örnek olarak Avrupa'da ISA/IEC 62443 ve Kuzey Amerika'da NERC CIP gösterilebilir. En iyi uygulamaların izlenmemesi, izin verilen segmentasyon yapılandırması, EDR aracılarının eksikliği ve ağdaki BT ve OT alanları arasında garanti dışı iletişim gibi sorunlara neden olabilir. Bunların, endüstri standartları ve en iyi uygulamalar geliştikçe konunun uzmanları tarafından değiştirilebilecekleri genel bir güvenlik açığı veritabanına girilmesi gerekir.
Güvenlik açıklarının değerlendirilmesi
Uygulayıcılar CVSS sistemini kullanarak şirkete özgü güvenlik açıklarını değerlendirmeli ve bunları genel güvenlik açıklarıyla aynı ölçeğe yerleştirmelidir. Güvenlik açığı veri tabanı, uygulayıcının şirket politikalarına dayalı güvenlik açığı değerlendirmesini etkilemesine izin verecek kadar esnek olmalıdır.
Herhangi bir varlık durumu bir güvenlik açığını temsil edebileceğinden, şirket ilkelerini tüm varlık durumlarına uygulayan bir algoritmanın konuşlandırılması önerilir. Bu nedenle, güvenlik durumu hakkında doğru kararlar vermenin temeli, tüm güvenlik açıklarının standart bir yönteme göre değerlendirildiği bir güvenlik açığı veritabanının tutarlı bir şekilde kullanılmasıdır. Bu, bir kuruluşun riske dayalı hafifletmeye öncelik vermesine olanak tanır.
Sonuç
Güvenlik açıkları, dört risk bileşeninden biridir ve güvenlik duruşunu analiz ederken önemli bir faktördür. Düzeltme eylemlerinin önceliklendirilmesi hakkında kararlar almak için varlıklara uygulanabilecek bir güvenlik açığı veritabanı oluşturmak ve sürdürmek büyük bir zorluktur.
Güvenlik açıklarını değerlendirmenin en iyi yolu CVSS sistemine uymaktır. Sonuç olarak kuruluşlar, endüstri standartlarını korurken tüm yaygın güvenlik açıklarını yeniden değerlendirmek zorunda kalmazlar. Bu sürecin kapsamı ve ölçeği nedeniyle, onu otomatikleştirmeye ihtiyaç vardır. Bu şekilde, bir kuruluş güvenlik duruşunun tutarlı ve ölçeklenebilir bir değerlendirmesini düzenli olarak yürüterek, değerlendirmeleri zaman içinde karşılaştırmayı ve güvenlik duruşundaki eğilimleri belirlemeyi mümkün kılar.
Daha fazlası Sophos.com'da
OTORIO Hakkında
OTORIO, yeni nesil OT güvenliği ve dijital risk yönetimi çözümleri geliştirir ve pazarlar. Şirket, kritik altyapı ve üretim endüstrileri için en yüksek düzeyde koruma sağlamak üzere önde gelen devlet siber güvenlik uzmanlarının deneyimini en yeni dijital risk yönetimi teknolojileriyle birleştiriyor.